SNAT与SNAT

一、实验目的褪黑素（Melatonin）是一种重要的生物活性物质，具有调节生物节律、抗氧化、抗衰老等多种生理功能。

本实验旨在通过合成褪黑素，了解褪黑素的合成途径及其相关酶的作用，为后续研究褪黑素在生物体内的作用提供实验基础。

二、实验材料与试剂1. 实验材料：色氨酸、N-乙酰基-L-丝氨酸（NAT）、N-甲基苯甲酰胺（SAMe）、N-乙酰基-L-色氨酸（NATP）、N-乙酰基-L-5-甲氧基色胺（NATM）、环己烷、无水乙醇、氢氧化钠、硫酸、盐酸等。

2. 实验试剂：5-羟色胺（5-HT）、5-羟色胺甲基转移酶（ASMT）、5-羟色胺-N-乙酰基转移酶（SNAT）等。

三、实验方法1. 褪黑素合成路线色氨酸→ 5-羟色胺（5-HT）→ N-乙酰-5-羟色胺→ 褪黑素（NATM）2. 实验步骤（1）5-羟色胺的制备将色氨酸溶解于无水乙醇中，加入氢氧化钠溶液，室温下搅拌30分钟。

加入硫酸酸化，室温下搅拌30分钟。

用环己烷萃取，无水硫酸钠干燥，过滤，浓缩，得到5-羟色胺。

（2）N-乙酰-5-羟色胺的制备将5-羟色胺溶解于无水乙醇中，加入NAT，室温下搅拌30分钟。

加入氢氧化钠溶液，室温下搅拌30分钟。

加入SAMe，室温下搅拌30分钟。

加入硫酸，室温下搅拌30分钟。

用环己烷萃取，无水硫酸钠干燥，过滤，浓缩，得到N-乙酰-5-羟色胺。

（3）褪黑素的制备将N-乙酰-5-羟色胺溶解于无水乙醇中，加入NATM，室温下搅拌30分钟。

加入氢氧化钠溶液，室温下搅拌30分钟。

加入硫酸，室温下搅拌30分钟。

用环己烷萃取，无水硫酸钠干燥，过滤，浓缩，得到褪黑素。

四、实验结果与分析1. 5-羟色胺的制备通过实验，成功制备了5-羟色胺，其含量约为80%。

2. N-乙酰-5-羟色胺的制备通过实验，成功制备了N-乙酰-5-羟色胺，其含量约为70%。

3. 褪黑素的制备通过实验，成功制备了褪黑素，其含量约为60%。

4. 酶活性测定通过对5-羟色胺甲基转移酶（ASMT）和5-羟色胺-N-乙酰基转移酶（SNAT）的活性测定，发现其在褪黑素合成过程中起着关键作用。

NAT（网络地址转换）是一种将私有IP地址转换为公网IP地址的技术，主要用于缓解IPv4地址空间不足的问题。

以下是NAT的常见参数：
静态NAT：将私有IP地址静态映射到公网IP地址上。

动态NAT：将多个私有IP地址映射到一个公网IP地址上，通常使用端口号进行区分。

端口转发：将来自外部网络的数据包转发到内部网络中的某个设备或服务上。

DNAT（目的NAT）：将外部数据包的目的地址转换为另一个地址。

SNAT（源NAT）：将内部数据包的源地址转换为另一个地址。

PAT（端口地址转换）：将多个私有IP地址和端口号映射到一个公网IP地址的不同端口上。

MASQUERADE：将内部数据包的源地址转换为路由器或防火墙的公网IP地址。

负载均衡：将外部数据包分发到多个内部服务器上，以提高性能和可靠性。

网络安全：通过NAT技术隐藏内部网络结构，增加安全性。

在使用NAT时，需要根据实际情况选择合适的参数进行配置。

需要注意的是，NAT可能会导致一些问题，如IP地址冲突、网络性能问题等，需要仔细考虑并采取相应措施进行解决。

iptables基本命令iptables命令iptables命令是Linux上常⽤的防⽕墙软件，是netfilter项⽬的⼀部分。

可以直接配置，也可以通过许多前端和图形界⾯配置。

语法iptables(选项)(参数)-t<表>：指定要操纵的表；-A：向规则链中添加条⽬；-D：从规则链中删除条⽬；-i：向规则链中插⼊条⽬；-R：替换规则链中的条⽬；-L：显⽰规则链中已有的条⽬；-F：清除规则链中已有的条⽬；-Z：清空规则链中的数据包计算器和字节计数器；-N：创建新的⽤户⾃定义规则链；-P：定义规则链中的默认⽬标；-h：显⽰帮助信息；-p：指定要匹配的数据包协议类型；-s：指定要匹配的数据包源ip地址；-j<⽬标>：指定要跳转的⽬标；-i<⽹络接⼝>：指定数据包进⼊本机的⽹络接⼝；-o<⽹络接⼝>：指定数据包要离开本机所使⽤的⽹络接⼝。

iptables命令选项输⼊顺序：iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o ⽹卡名> -p 协议名 <-s 源IP/源⼦⽹> --sport 源端⼝ <-d ⽬标IP/⽬标⼦⽹> --dport ⽬标端⼝ -j 动作表名包括：raw：⾼级功能，如：⽹址过滤。

mangle：数据包修改（QOS），⽤于实现服务质量。

net：地址转换，⽤于⽹关路由器。

filter：包过滤，⽤于防⽕墙规则。

规则链名包括：INPUT链：处理输⼊数据包。

OUTPUT链：处理输出数据包。

FORWARD链：处理转发数据包。

PREROUTING链：⽤于⽬标地址转换（DNAT）。

POSTOUTING链：⽤于源地址转换（SNAT）。

动作包括：ACCEPT：接收数据包。

DROP：丢弃数据包。

REDIRECT：重定向、映射、透明代理。

SNAT：源地址转换。

DNAT：⽬标地址转换。

Linux防火墙配置SNAT教程防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。

这篇文章主要为大家详细介绍了Linux防火墙配置SNAT教程，具有一定的参考价值，感兴趣的小伙伴们可以参考一下1、实验目标以实验“防火墙配置-访问外网WEB”为基础，在WEB服务器上安装Wireshark，设置Wireshark的过滤条件为捕获HTTP报文，在Wireshark中开启捕获，在内网测试机上访问WEB服务器，查看捕获结果，再在网关防火墙上设置SNAT，查看捕获结果(防火墙配置-访问外网WEB：linux防火墙配置教程之访问外网web实验(3) )2、SNAT(source network address translation)源地址转换，其作用是将ip数据包的源地址转换成另外一个地址，俗称IP地址欺骗或伪装内部地址要访问公网上的服务时(如web访问)，内部地址会主动发起连接，由路由器或者防火墙上的网关对内部地址做个地址转换，将内部地址的私有IP转换为公网的公有IP，网关的这个地址转换称为SNAT，主要用于内部共享IP访问外部，同时可以保护内网安全3、实验拓扑4、实验步骤(1)完成“防火墙配置-访问外网WEB”实验(2)在WEB服务器上安装Wireshark1)配置本地Yum源(CentOS 6.5配置本地Yum源教程)2)安装Wireshark复制代码代码如下:[root@lyy yum.repos.d]# yum install wireshark wireshark-gnome -y //gnome表示桌面版3)打开Wireshark安装完成之后，点击“应用程序”——“Internet”——“Wireshark”即可打开(3)设置Wireshark的过滤条件为捕获HTTP报文点击“Capture”——“Option”——在弹出的窗口中勾选“eht0”双击“eth0”——在弹出的窗口中点击“Capture Filter”——点击“HTTP TCP port(80)”——确定(4)在内网测试机上访问WEB服务器此时看到的源地址是内网测试机的地址192.168.0.10(5)在网关防火墙上设置SNAT复制代码代码如下:[root@lyy 桌面]# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE复制代码代码如下:MASQUERADE：动态地址伪装，用发送数据的网卡上的IP来替换源IP(6)内网测试机上访问WEB服务器，捕获结果如下：此时，源地址已经被替换成了网关的eth1的IP地址，SNAT的目的已经达到!补充阅读：防火墙主要使用技巧一、所有的防火墙文件规则必须更改。

防火墙技术之A L G技术（三）——TFTP协议穿墙术经过前面两期《防火墙技术ALG技术之安全策略》、《防火墙技术ALG技术之FTP 协议穿墙术》的介绍，相信大家对于防火墙转发FTP协议流量时踩到坑点、解决方案已经有了充足的认识。

本文将以TFTP协议为例，看一看在穿越防火墙ACL和NAT时又有什么差异、谈一谈个人理解与认知，希望能够共同学习进步，不足之处欢迎批评指正。

1.TFTP协议学习1.1TFTP协议简介TFTP（Trivial File Transfer Protocol，简单文件传输协议）是TCP/IP协议族中的一个用来在客户端与服务器之间进行简单文件传输的协议，提供不复杂、开销不大的文件传输服务。

TFTP是一个传输文件的简单协议，基于UDP协议而实现，但也不能确定有些TFTP协议是基于其他传输协议完成的。

此协议设计之初是进行小文件传输的，一次发送数据块不能超过512字节（注：关于一些高级功能，RFC1783阐述了块大小谈判、RFC1784阐述了超时谈判和传送大小谈判，但是目前大多数TFTP服务器都还不支持），这也是服务器必须把文件切成小块反复传输的原因。

服务器向客户端发送一个数据块，再接收到客户端发回的应答数据包前什么都不做，直到收到客户端确定数据块已经收到的应答后，它才发送下一个数据块，这种方式使得数据传输效率不高，但确保数据传输流程足够简单，同时能保证传输出错时，数据重传很方便，同时客户端也不用考虑数据块不按次序抵达时，如何将数据块进行正确组装。

如果一个数据包的大小小于512字节，则表示传输结束。

如果数据包在传输过程中丢失，发出方会在超时后重传最后一个未被确认的数据包（类似于TCP 超时重传机制）。

通信双方互为数据的发出者与接收者，一方发出数据接收应答、另一方发出应答接收数据。

1.2TFTP报文类型TFTP协议定义了6种类型的报文，类型的区分由数据包前两个字节的Opcode字段进行区分，具体如下：读请求包：Read Request，简写为RRQ，从TFTP服务器获取数据的请求，Opcode字段值为1；写请求包：Write Request，简写为WRQ，向TFTP服务器写数据的请求，Opcode字段值为2；数据包：Data，简写为DATA，TFTP传输的文件数据，Opcode字段值为3；确认包：Acknowledgement，简写为ACK，对收到的传输文件数据的确认，Opcode字段值为4；差错包：Error，简写为ERROR，错误消息，Opcode字段值为5；选项确认包：Option Acknowledgement，简写为OACK，用于确认收到的TFTP选项（后来协议才加上的，当客户端的RRQ和WRQ包带option字段时，服务器响应OACK），Opcode字段值为6。

简述NAT的工作原理及应用NAT的工作原理NAT（Network Address Translation）是一种网络协议，用于在私有网络和公共网络之间进行地址转换。

它允许多个设备共享单个公共IP地址，从而解决了IP 地址不足的问题。

NAT的工作原理如下：1.出口NAT（SNAT）当私有网络中的一台设备要发送数据包到公共网络时，出口NAT将源IP地址替换为它所拥有的公共IP地址，并在NAT转换表中记录这个映射关系。

这样，数据包就能被正确地送达目标设备。

2.入口NAT（DNAT）当公共网络中的设备要发送数据包到私有网络时，入口NAT将目标IP地址替换为私有网络中的设备的IP地址，并在NAT转换表中查找相应的映射关系。

这样，数据包就能正确地转发到私有网络中的设备。

3.端口转换（PAT）当私有网络中有多台设备共享同一个公共IP地址时，PAT会通过修改源端口和目标端口来实现设备之间的区分。

这样，多个设备就能使用一个公共IP地址进行通信。

NAT的应用NAT广泛应用于各种网络环境中，以下是一些常见的应用场景：1.家庭网络：在家庭网络中，通常只有一个公共IP地址被提供，但是家庭中有多个设备需要连接到互联网，例如电脑、手机、电视等。

NAT可以使用一个公共IP地址为这些设备提供互联网连接。

–家庭网络示意图：•家庭路由器（公共IP地址）连接到互联网•多个设备（电脑、手机、电视等）连接到家庭路由器2.企业网络：类似于家庭网络，企业网络中也需要将私有IP地址转换为公共IP地址来实现互联网连接。

此外，企业网络还需要考虑安全性和灵活性。

NAT可以实现对内部网络的保护，并为企业网络提供更好的扩展性。

–企业网络示意图：•企业内部网络使用私有IP地址•内部网络通过企业防火墙连接到互联网•NAT用于将私有IP地址转换为公共IP地址3.无线网络：在无线网络中，NAT可以帮助管理IP地址的分配和转换，以便支持多个无线设备的连接。

–无线网络示意图：•无线路由器连接到互联网•多个无线设备通过无线路由器连接到互联网4.虚拟化网络：在虚拟化环境中，NAT可以为虚拟机提供外部网络连接，并实现虚拟机之间的通信。

译文：Selective SNAT 和iSNAT(可选性SNAT和智能SNAT)标准SNATs以前的BIG-IP系统仅包括了一种类型的SNAT：被称做“标准SNAT”。

一个标准的SNAT具有以下三个主要特性：1）翻译地址的选择总是基于数据包中的一个特定数据段：CLIENT端源地址；2）BIG-IP系统可选择用来映射CLIENT端源地址的翻译地址是有限制的：或者是一个指定的IP地址,或者,如果激活了SNAT automap,是一组self-IP地址。

例如：b snat map tob snat map to auto3）被用来做SNAT automap的Self-IP地址，不可以当VS的IP地址用。

以上的三个特性限制了SNAT的能力。

BIG-IP 4.5 PTF-04版本提供了新的SNAT类型：可选性SNAT（selective SNAT）和智能SNAT（iSNAT），就消除了对于SNAT的这些限制。

可选性SNAT和智能SNAT从BIG-IP 4.5 PTF-04版本开始可以使用新的iSNAT特性：两种新的SNAT---可选性SNAT 和智能SNAT。

概述在以前的BIG-IP版本中使用SNA T功能，只能将客户端源地址映射到一个指定的翻译地址上（或者是一组self-IP地址）。

现在，随着可选性SNAT和智能SNAT的出现，可以将一个客户端源地址映射到一个翻译地址池（pool）。

这个翻译地址池被称为SNAT pool。

你可以把一个或多个源地址映射到一个SNAT pool（而不是仅映射到一个特定的翻译地址上），然后，BIG-IP系统从这个SNAT pool中选取一个翻译地址。

例如，过去使用标准方法生成一个SNAT：b snat map to现在可以使用新的方法：b snat map to snatpool有两种类型的SNAT要使用到SNAT pool ----- 可选性SNAT和智能SNAT（iSNAT）。

NGFW快速上线部署指南该文档主要描述NGFW在常用网络环境下的快速上线方法。

文档中描述的各种网络模式的配置都是最基本的配置，首先保证上线成功，而后续的策略等配置需要依据具体用户网络环境和需求进行操作，该文档暂不提供复杂的网络和策略配置指导。

设备面板介绍Console口：用串口线，通过访问终端、CRT等以命令行访问设备。

网络管理口（Mgt）：用网络方式，可远程管理设备。

网络接口：可以依据具体网络环境，将网络接口配置成各种网络模式。

设备登陆方式建议使用界面方式登录系统，NGFW提供了命令行方式登录，具体方法可参考帮助文档；使用管理PC连接至NGFW设备的MGT管理口，该网口的默认地址是：192.168.1.23/24，只要网络通信可达，即可使用HTTPS的方式登录至NGFW的管理界面，具体登录方式如下：1、保证网络连通性，从管理PC可ping通192.168.1.23；2、使用浏览器（IE、谷歌），在地址栏输入：https://192.168.1.233、即可连接到NGFW的登录界面，如下图所示：4、用户名和密码分别是：admin / ngfw20125、登录成功，进入到NGFW主界面。

基础网络配置（管理口、DNS、默认路由）设备管理口、DNS配置页面在“系统管理-基本配置”页面，点击右上角的齿轮图标进行配置。

默认路由配置在“网络配置-静态路由”页面，点击左下角的“新建”图标，配置设备的默认路由。

如果设备作为网关部署且内网有多个网段，还需要配置内网各网段间的路由。

注意：为了让内网用户访问外网，默认的路由下一跳应该设置为外网接口的网关IP，即运营商提供的网关IP，不要配置为内网网关IP或设备出口IP。

网络环境配置虚拟线环境网络配置注意点1、虚拟线需成对配置，且只能是一个虚拟线包含一对接口；2、虚拟线中的一个接口必须指定为WAN口；参数配置1、配置其中一个接口，指定其为WAN口，进入“网络配置—接口与区域—物理接口”界面，点击具体的接口，进行编辑配置，如下图：2、同样，配置另一个接口，这个接口作为连接内网用途，不需要指定其为WAN口，如下图：3、配置之后，在接口列表中能够看到如下配置信息，如下图：4、接下来配置虚拟网线，进入“网络配置—接口与区域—虚拟网线”配置界面，点击下方的“新建”，进入配置界面，如下图：5、输入虚拟线名称，选择两个接口，点击“确定”即可；6、至此，虚拟线模式的网络配置部分已经完成；接下来，进入到安全策略配置部分；策略配置进入到“策略配置—安全策略”界面，点击“新建”，进入到策略编辑界面，如下图：为了快速上线，建议先做一条全范围允许的策略，保证第一次上线成功，然后再根据具体需求，创建新的具体安全策略；完成以上配置后，点击界面右上角的立即生效；待需要的策略配置完成后，系统运行正常之后，再点击右上角的“保存”，确保系统重启后策略继续有效；到此，虚拟线上线的基本配置都已经完成，Vlan环境网络配置注意点1、Vlan类似于网桥，与网桥不同的是，可以配置多个接口在同一Vlan中；2、默认情况下，配置access范围为1即可；3、在Trunk模式下，必须要指定Native Vlan和VlanID号；参数配置1、进入到“网络配置—接口与区域—物理接口”界面，配置其中一个接口为外网口，如下图所示：2、接下来，再配置另一个接口为内网口，如下图所示：3、这样，网络配置部分完成，继续配置策略；策略配置策略部分的配置可参考虚拟线环境下的策略配置，主要目的是保证第一次上线成功，具体策略可后续再配置；网关环境网络配置注意点1、网关模式只需要指定一个外网口和一个内网口，且两个接口都需要有各自的IP地址；2、网关模式需要指定网关，一般都为外网的下一跳地址；参数配置1、进入到“网络配置—接口与区域—物理接口”界面，配置其中一个接口为外网口，如下图所示：2、配置另一个接口为内网口，内网口不需要指定其为WAN口，如下图：3、完成接口配置之后，接下来配置路由，主要有默认路由和策略路由，如下图：4、至此，网络配置部分已经完成，可通过ping内外口的下一跳地址来验证网络的连通性；策略配置策略部分的配置可参考虚拟线环境下的策略配置，主要目的是保证第一次上线成功，具体策略可后续再配置；NAT配置严格意义上讲，网关模式不包含NAT配置，但我们常把NAT模式当做网关模式来说，NAT 模式具体配置见下章。

《网络服务器搭建、配置与管理-Linux版（第3版）》1.11 练习题一、填空题1．GNU的含义是。

2．Linux一般有3个主要部分：、、。

3．目前被称为纯种的UNIX指的就是以及这两套操作系统。

4．Linux是基于的软件模式进行发布的，它是GNU项目制定的通用公共许可证，英文是。

5．史托曼成立了自由软件基金会，它的英文是。

6．POSIX是的缩写，重点在规范核心与应用程序之间的接口，这是由美国电气与电子工程师学会（IEEE）所发布的一项标准。

7．当前的Linux常见的应用可分为与两个方面。

8．Linux的版本分为和两种。

9．安装Linux最少需要两个分区，分别是。

10．Linux默认的系统管理员账号是。

二、选择题1．Linux最早是由计算机爱好者（）开发的。

A．Richard Petersen B．Linus TorvaldsC．Rob Pick D．Linux Sarwar2．下列中（）是自由软件。

A．Windows XP B．UNIX C．Linux D．Windows 2008 3．下列中（）不是Linux的特点。

A．多任务B．单用户C．设备独立性D．开放性4．Linux的内核版本2.3.20是（）的版本。

A．不稳定B．稳定的C．第三次修订D．第二次修订5．Linux安装过程中的硬盘分区工具是（）。

A．PQmagic B．FDISK C．FIPS D．Disk Druid 6．Linux的根分区系统类型可以设置成（）。

A．FATl6 B．FAT32 C．ext4 D．NTFS三、简答题1．简述Linux的体系结构。

2．使用虚拟机安装Linux系统时，为什么要先选择稍后安装操作系统，而不是去选择RHEL 7系统镜像光盘？3．简述RPM与Yum软件仓库的作用。

4．安装Red Hat Linux系统的基本磁盘分区有哪些?5．Red Hat Linux系统支持的文件类型有哪些？6．丢失root口令如何解决？7．RHEL 7系统采用了systemd作为初始化进程，那么如何查看某个服务的运行状态？2.6 练习题一、填空题1．文件主要用于设置基本的网络配置，包括主机名称、网关等。

F5 Networks多出口链路负载均衡解决方案建议目录一．多出口链路负载均衡需求分析.................................. 错误!未定义书签。

二．多出口链路负载均衡解决方案概述.............................. 错误!未定义书签。

多出口链路负载均衡网络拓朴设计 ............................... 错误!未定义书签。

方案描述 ..................................................... 错误!未定义书签。

方案优点 ..................................................... 错误!未定义书签。

拓扑结构方面................................................ 错误!未定义书签。

安全机制方面................................................. 错误!未定义书签。

三．技术实现 ................................................... 错误!未定义书签。

F5多出口链路负载均衡（产品选型：B IGIP LC）.................... 错误!未定义书签。

O UTBOUND流量负载均衡实现原理................................... 错误!未定义书签。

I NBOUND流量负载均衡实现原理 ................................... 错误!未定义书签。

在链路负载均衡环境中的DNS设计和域名解析方式................. 错误!未定义书签。

Root DNS（注册DNS）直接与F5多链路负载均衡器配合........... 错误!未定义书签。

SNAT、DNAT、MASQUERADEFullNAT的区别SNAT, DNAT, MASQUERADE都是NATMASQUERADE是SNAT的⼀个特例SNAT：仅对源地址（source）进⾏转换。

DNAT：仅对⽬的地址（destination）进⾏转换。

Full NAT：同时对源地址和⽬的地址进⾏转换DNAT，就是指数据包从⽹卡发送出去的时候，修改数据包中的⽬的IP，表现为如果你想访问A，可是因为⽹关做了DNAT，把所有访问A 的数据包的⽬的IP全部修改为B，那么，你实际上访问的是B因为，路由是按照⽬的地址来选择的，因此，DNAT是在PREROUTING链上来进⾏的，⽽SNAT是在数据包发送出去的时候才进⾏，因此是在POSTROUTING链上进⾏的SNAT是指在数据包从⽹卡发送出去的时候，把数据包中的源地址部分替换为指定的IP，这样，接收⽅就认为数据包的来源是被替换的那个IP的主机MASQUERADE是⽤发送数据的⽹卡上的IP来替换源IP，因此，对于那些IP不固定的场合，⽐如拨号⽹络或者通过dhcp分配IP的情况下，就得⽤MASQUERADE将服务通过NAT转换暴露在公⽹后，内⽹不能通过公⽹地址进⾏访问，这时就需要配置MASQUERADEMASQUERADE，地址伪装，算是snat中的⼀种特例，可以实现⾃动化的snat。

在iptables中有着和SNAT相近的效果，但也有⼀些区别，但使⽤SNAT的时候，出⼝ip的地址范围可以是⼀个，也可以是多个，例如：如下命令表⽰把所有10.8.0.0⽹段的数据包SNAT成192.168.5.3的ip然后发出去，iptables-t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source192.168.5.3如下命令表⽰把所有10.8.0.0⽹段的数据包SNAT成192.168.5.3/192.168.5.4/192.168.5.5等⼏个ip然后发出去iptables-t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source192.168.5.3-192.168.5.5这就是SNAT的使⽤⽅法，即可以NAT成⼀个地址，也可以NAT成多个地址，但是，对于SNAT，不管是⼏个地址，必须明确的指定要SNAT的ip，假如当前系统⽤的是ADSL动态拨号⽅式，那么每次拨号，出⼝ip192.168.5.3都会改变，⽽且改变的幅度很⼤，不⼀定是192.168.5.3到192.168.5.5范围内的地址，这个时候如果按照现在的⽅式来配置iptables就会出现问题了，因为每次拨号后，服务器地址都会变化，⽽iptables规则内的ip是不会随着⾃动变化的，每次地址变化后都必须⼿⼯修改⼀次iptables，把规则⾥边的固定ip改成新的ip，这样是⾮常不好⽤的。

以下是F5 BIG-IP用作HTTP负载均衡器的主要功能：①、F5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器，而面对用户，只是一台虚拟服务器。

②、F5 BIG-IP可以确认应用程序能否对请求返回对应的数据。

假如F5 BIG-IP后面的某一台服务器发生服务停止、死机等故障，F5会检查出来并将该服务器标识为宕机，从而不将用户的访问请求传送到该台发生故障的服务器上。

这样，只要其它的服务器正常，用户的访问就不会受到影响。

宕机一旦修复，F5 BIG-IP 就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。

③、F5 BIG-IP具有动态Session的会话保持功能。

④、F5 BIG-IP的iRules功能可以做HTTP内容过滤，根据不同的域名、URL，将访问请求传送到不同的服务器。

下面，结合实例，配置F5 BIG-IP LTM v9.x：①、如图，假设域名被解析到F5的外网/公网虚拟IP：61.1.1.3（vs_squid），该虚拟IP下有一个服务器池（pool_squid），该服务器池下包含两台真实的Squid服务器（192.168.1.11和192.168.1.12）。

②、如果Squid缓存未命中，则会请求F5的内网虚拟IP：192.168.1.3（vs_apache），该虚拟IP下有一个默认服务器池（pool_apache_default），该服务器池下包含两台真实的Apache服务器（192.168.1.21和192.168.1.22），当该虚拟IP匹配iRules规则时，则会访问另外一个服务器池（pool_apache_irules），该服务器池下同样包含两台真实的Apache服务器（192.168.1.23和192.168.1.24）。

③、另外，所有真实服务器的默认网关指向F5的自身内网IP，即192.168.1.2。

④、所有的真实服务器通过SNAT IP地址61.1.1.4访问互联网。

防⽕墙之地址转换SNATDNAT防⽕墙之地址转换SNAT DNAT⼀、SNAT源地址转换。

1、原理：在路由器后（PSOTROUTING）将内⽹的ip地址修改为外⽹⽹卡的ip地址。

2、应⽤场景：共享内部主机上⽹。

3、设置SNAT：⽹关主机进⾏设置。

（1）设置ip地址等基本信息。

（2）开启路由功能：sed -i '/ip-forward/s/0/1/g'sysctl -p（3）编写规则：iptables -t nat -I POSTROUTING -o 外⽹⽹卡 -s 内⽹⽹段 -j SNAT --to-source 外⽹ip地址 #适⽤于外⽹ip地址固定场景iptables -t nat -I POSTROUTING -o 外⽹⽹卡 -s 内⽹⽹段 -j MASQUERADE #适⽤于共享动态ip地址上⽹（如adsl拨号，dhcp获取外⽹ip）（4）做好安全控制：使⽤FORWARD时机进⾏控制，严格设置INPUT规则。

⼆、DNAT⽬的地址转换：1、原理：在路由前（PREROUTING）将来⾃外⽹访问⽹关公⽹ip及对应端⼝的⽬的ip及端⼝修改为内部服务器的ip及端⼝，实现发布内部服务器。

2、应⽤场景：发布内部主机服务。

3、设置DNAT：⽹关主机上设置。

（1）设置ip、开启路由、设置SNAT（2）编写防⽕墙规则：iptables -t nat -I PREROUTING -i 外⽹⽹卡 -d 外⽹ip tcp --dport 发布的端⼝ -j DNAT --to-destination 内⽹服务ip:端⼝NAT network address translation仅从报⽂请求来看，可以分为：SNAT 源地址转换DNAT ⽬标地址转换PNAT 端⼝转换并⾮是⽤户空间的进程完成转换功能，靠的是内核中的地址转换规则私有IP客户端访问互联⽹的⽅法SNAT 、PROXYSNAT：主要⽤于实现内⽹客户端访问外部主机时使⽤（局域⽹上⽹⽤）定义在POSTROUTING链上iptables -t nat -A postrouting -s 内部⽹络地址或主机地址 -j SNAT --to-source NAT服务器上的某外部地址另外⼀个targetMASQUERADE地址伪装（适⽤于PPPOE拨号上⽹，假设eth1是出⼝）iptables -t nat -A postrouting -s 内部⽹络或主机地址 -o eth1 -j MASQUERADEDNAT：主要⽤于内部服务器被外⽹访问（发布服务）定义在PREROUTINGiptables -t nat -A PREROUTING -d NAT服务器的某外部地址 -p 某协议 --dport 某端⼝ -j DNAT --to-destination 内⽹服务器地址[:port]注意：NAT服务器需要打开数据转发echo 1 > /proc/sys/net/ipv4/ip_forward或者修改/etc/sysctl.conf net.ipv4.ip_forward = 1实验操作SNAT、DNATSNAT规划主机A 作为SNAT servereth0 ip地址172.20.1.10（外部地址），eth1 192.168.1.1（内部地址）主机B当做局域⽹内主机eth0 ip地址192.168.1.2 默认路由要指向192.168.1.1SNAT server：[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 172.20.1.10#上⾯和我们实例操作相同[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward主机B ping外部的其它主机（172.20.1.20模拟互联⽹上的主机）DNAT[root@nat ~]# iptables -t filter -F[root@nat ~]# iptables -t nat -F[root@nat ~]# iptables -t nat -A PREROUTING -d 10.1.249.125 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.4 Chain PREROUTING (policy ACCEPT)target prot opt source destinationDNAT tcp -- 0.0.0.0/0 10.1.249.125 tcp dpt:80 to:192.168.2.4[root@nat ~]# netstat -tln | grep "\<80\>" 此时本机上并没有开放80端⼝hello --> 此时我们访问为 nat 主机上的80端⼝由上⾯可知,此服务器上并没有开放80,⽽是将请求送往后端服务器我们有⼀台机器A可以上外⽹，配置eth0=192.168.1.1,eth1=222.13.56.192有6台机器只有内⽹IP ，分别是192.168.1.102~192.168.1.108,想让这6台机器通过机器A上⽹在机器A 防⽕墙上配置如下即可/sbin/iptables -t nat -I POSTROUTING -s 192.168.1.101 -j SNAT --to-source 222.13.56.192 /sbin/iptables -t nat -I POSTROUTING -s 192.168.1.102 -j SNAT --to-source 222.13.56.192 /sbin/iptables -t nat -I POSTROUTING -s 192.168.1.103 -j SNAT --to-source 222.13.56.192 /sbin/iptables -t nat -I POSTROUTING -s 192.168.1.104 -j SNAT --to-source 222.13.56.192 /sbin/iptables -t nat -I POSTROUTING -s 192.168.1.105 -j SNAT --to-source 222.13.56.192 /sbin/iptables -t nat -I POSTROUTING -s 192.168.1.108 -j SNAT --to-source 222.13.56.192在 6台机器上路由显⽰route -nKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 em1169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 em10.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 em1iptables中DNAT转发的配置⽅法1.⼀对⼀流量完全DNAT⾸先说⼀下⽹络环境，普通主机⼀台做防⽕墙⽤，⽹卡两块eth0 192.168.0.1 内⽹eth1 202.202.202.1 外⽹内⽹中⼀台主机 192.168.0.101现在要把外⽹访问202.202.202.1的所有流量映射到192.168.0.101上命令如下：#将防⽕墙改为转发模式echo 1 > /proc/sys/net/ipv4/ip_forwardiptables -t nat -Xiptables -t mangle -Xiptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPTiptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPTiptables -t nat -A PREROUTING -d 202.202.202.1 -j DNAT --to-destination 192.168.0.101iptables -t nat -A POSTROUTING -d 192.168.0.101 -j SNAT --to 192.168.0.12.多对多流量完全DNAT说是多对多，实际上这⾥的配置是指定了多个⼀对⼀环境：eth0 192.168.0.1 内⽹eth1 202.202.202.1 、202.202.202.2 外⽹内⽹中2台主机 192.168.0.101、192.168.0.102现在要把外⽹访问202.202.202.1的所有流量映射到192.168.0.101上，同时把把外⽹访问202.202.202.2的所有流量映射到192.168.0.102上这⾥顺便提⼀下如何为⽹卡配置多个IPifconfig eth1:1 202.202.202.2 netmask 255.255.255.0 up#将防⽕墙改为转发模式echo 1 > /proc/sys/net/ipv4/ip_forwardiptables -Fiptables -t nat -Fiptables -t mangle -Fiptables -Xiptables -t nat -Xiptables -t mangle -Xiptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPTiptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPTiptables -t nat -A PREROUTING -d 202.202.202.1 -j DNAT --to-destination 192.168.0.101iptables -t nat -A POSTROUTING -d 192.168.0.101 -j SNAT --to 192.168.0.1iptables -t nat -A PREROUTING -d 202.202.202.2 -j DNAT --to-destination 192.168.0.102iptables -t nat -A POSTROUTING -d 192.168.0.102 -j SNAT --to 192.168.0.13.⼀对多根据协议DNAT这个最常⽤，⼀般是内⽹或DMZ区内有多个应⽤服务器，可以将不同的应⽤流量映射到不同的服务器上环境：eth0 192.168.0.1 内⽹eth1 202.202.202.1 外⽹192.168.0.102上命令如下：#将防⽕墙改为转发模式echo 1 > /proc/sys/net/ipv4/ip_forwardiptables -Fiptables -t nat -Fiptables -t mangle -Fiptables -Xiptables -t nat -Xiptables -t mangle -Xiptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPTiptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT#Web访问设置iptables -t nat -A PREROUTING -d 202.202.202.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.101:80iptables -t nat -A POSTROUTING -d 192.168.0.101 -p tcp --dport 80 -j SNAT --to 192.168.0.1#邮件访问设置iptables -t nat -A PREROUTING -d 202.202.202.1 -p tcp --dport 25 -j DNAT --to-destination 192.168.0.102:25iptables -t nat -A POSTROUTING -d 192.168.0.102 -p tcp --dport 25 -j SNAT --to 192.168.0.1iptables -t nat -A PREROUTING -d 202.202.202.1 -p tcp --dport 110 -j DNAT --to-destination 192.168.0.102:110iptables -t nat -A POSTROUTING -d 192.168.0.102 -p tcp --dport 110 -j SNAT --to 192.168.0.1SNAT：源地址转换,代理内部客户端访问外部⽹络⽬标地址不变，重新改写源地址，并在本机建⽴NAT表项，当数据返回时，根据NAT表将⽬的地址数据改写为数据发送出去时候的源地址，并发送给主机，⽬前基本都是解决内⽹⽤户⽤同⼀个公⽹IP地址上⽹的情况。

Linux 下的防火墙iptables一、基本知识1．防火墙可以分为网络层防火墙和应用层防火墙。

Netfilter/iptables 是网络层防火墙，squid 是应用层防火墙。

23．NAT 即网络地址转换，NAT 类型有静态NAT ，动态NAT 和网络地址端口转换NAPT 。

4．Netfilter/iptables 把NAT 分成了两种，即源NAT （SNAT ）和目的NAT （DNAT ）。

-------------------------------------------------------------------------------------------------------------------二、iptable 的安装与配置1．安装2．启用linux路由功能3．Iptables 语法（1）[-t 表]（2）[-命令 链]Input(链) output(链) Forward(链) prerouting(链) postrouting(链) output(链) 规则集 规则集 规则集 规则集 规则集 规则集首先要查看下防火墙的情况：]# iptables -L –n看到INPUT ACCEPT, FORWARD ACCEPT , OUTPUT ACCEPT我们可以这样理解iptables 由3个部分组成INPUT, FORWARD 和OUTPUT关闭所有的INPUT FORWARD OUTPUT，下面是命令实现：]# iptables -P INPUT DROP]# iptables -P FORWARD DROP]# iptables -P OUTPUT DROP]# service iptables save 进行保存firewall rules 防火墙的规则其实就是保存在/etc/sysconfig/iptables可以打开文件查看vi /etc/sysconfig/iptables禁止单个IP访问命令# iptables -A INPUT -p tcp -s 192.168.1.2 -j DROP数据包经过防火墙的路径图1比较完整地展示了一个数据包是如何经过防火墙的，考虑到节省空间，该图实际上包了三种情况：来自外部，以防火墙（本机）为目的地的包，在图1中自上至下走左边一条路径。

F5中的SNAT有哪些不同类型->默认情况下，虚拟服务器将仅转换传入数据包的目标IP地址。

数据包的源IP地址不变。

-> SNAT用于更改客户端传入数据包的源IP地址。

-> SNAT主要用于两个功能：1）使F5后面的服务器可以访问Internet（私有->公共）2）确保服务器不通过BIG IP LTM不直接将响应发送给客户端。

-> SNAT可以通过多种方式配置：1）一对一映射2）多对一映射3）全部一对一映射->必须在客户端流量进入BIG IP系统的VLAN上启用SNAT。

->默认情况下，在BIG IP系统上配置的所有VLAN上都启用SNAT。

->默认情况下，SNAT仅支持UDP和TCP。

->默认情况下，BIG-IP系统会尝试保留源端口，但是如果该端口已在所选转换地址上使用，则系统还会转换源端口。

-> BIG IP系统上有四种类型的SNAT：1）SNAT地址：->将一个或多个原始IP地址映射到您选择的特定转换地址。

->与SNAT自动映射相同，但是在这种情况下，除了浮动自身IP地址外，我们还可以使用其他IP。

->虚拟服务器地址可以用作SNAT地址。

->可以使用CLI在以下命令的帮助下创建SNAT地址：创建/ ltm snat client_snat转换10.0.0.1起源添加{0.0.0.0/0}2）SNAT自动映射：->将一个或多个原始IP地址映射到出口VLAN的浮动地址。

->易于配置和实施。

->虚拟服务器地址不能用作SNAT地址。

3）SNAT池：->将一个或多个原始IP地址映射到您选择的多个转换地址。

-> SNAT池可以包含来自出口VLAN以及非出口VLAN的IP地址。

-> BIG-IP系统使用最少连接算法在成员之间平衡SNAT池连接。

-> SNAT池将通过检查数据包中的目标IP地址，智能地选择始终将VLAN ip IP地址输出到传入的客户端连接。